Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevos IoC asociados al troyano UrsaRecientemente, se identificó nueva actividad en la cual estaba implicado el troyano URSA luego de dos años desde su publicación oficial, en estas se ha observado que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-al-troyano-ursahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se identificó nueva actividad en la cual estaba implicado el troyano URSA luego de dos años desde su publicación oficial, en estas se ha observado que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.
Nuevo stealer denominado RiseProA través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero en busca de nuevas campañas y amenazas maliciosas, se identificó la aparición de un nuevo stealer denominado RisePro, el cual parece ser una variante sencilla de PrivateLoader, un loader utilizado para descargar y ejecutar varias cargas útiles en el equipo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-riseprohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero en busca de nuevas campañas y amenazas maliciosas, se identificó la aparición de un nuevo stealer denominado RisePro, el cual parece ser una variante sencilla de PrivateLoader, un loader utilizado para descargar y ejecutar varias cargas útiles en el equipo comprometido.
Nueva versión del troyano bancario GodFather para dispositivos AndroidEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas campañas y/o amenazas que puedan afectar la infraestructura de nuestros asociados, donde se observó una nueva versión del troyano bancario denominado Godfather, el cual se cree es el sucesor de Anubis, otro troyano bancario que ha sido muy utilizado, pero que es detectado por las actualizaciones en los sistemas operativos Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-troyano-bancario-godfather-para-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas campañas y/o amenazas que puedan afectar la infraestructura de nuestros asociados, donde se observó una nueva versión del troyano bancario denominado Godfather, el cual se cree es el sucesor de Anubis, otro troyano bancario que ha sido muy utilizado, pero que es detectado por las actualizaciones en los sistemas operativos Android.
Emergen nuevas variantes de ransomware basadas en ContiDesde la filtración del código fuente del ransomware Conti en el ciberespacio, se han generado nuevas familias basadas en este, entre estos anteriormente habíamos reportado Meow y BlueSky; no obstante, se continúan identificando en la naturaleza, otras variantes como Putin Team, ScareCrow y Monti por mencionar algunas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emergen-nuevas-variantes-de-ransomware-basadas-en-contihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde la filtración del código fuente del ransomware Conti en el ciberespacio, se han generado nuevas familias basadas en este, entre estos anteriormente habíamos reportado Meow y BlueSky; no obstante, se continúan identificando en la naturaleza, otras variantes como Putin Team, ScareCrow y Monti por mencionar algunas.
Nueva actualización de ZeroBotEn este último mes, se ha estado evidenciando nueva actividad maliciosa de la familia de malware Zerobot, donde constantemente está recibiendo actualizaciones relacionadas a sus capacidades y métodos de propagación; en esta ocasión, se identificó que esta botnet está utilizando la explotación de vulnerabilidades en servidores Apache, para acceder a las infraestructuras tecnológicas objetivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actualizacion-de-zerobothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En este último mes, se ha estado evidenciando nueva actividad maliciosa de la familia de malware Zerobot, donde constantemente está recibiendo actualizaciones relacionadas a sus capacidades y métodos de propagación; en esta ocasión, se identificó que esta botnet está utilizando la explotación de vulnerabilidades en servidores Apache, para acceder a las infraestructuras tecnológicas objetivo.
Nueva versión de NokoyawaEste ransomware fue identificado por primera vez en febrero de 2022, donde se observaron ataques de doble extorsión debido a la exfiltración de data sensible y filtrado de archivos; inicialmente fue desarrollado en lenguaje C, junto con criptografía de curva elíptica (ECC) con SECT233R1 y el método de Salsa20 para la actividad de cifrado. En su nueva versión se observó que los ciberdelincuentes utilizaron el lenguaje Rust, con el objetivo de tener más flexibilidad en la ejecución de procesos a través de la configuración en la línea de comandos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-de-nokoyawahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Este ransomware fue identificado por primera vez en febrero de 2022, donde se observaron ataques de doble extorsión debido a la exfiltración de data sensible y filtrado de archivos; inicialmente fue desarrollado en lenguaje C, junto con criptografía de curva elíptica (ECC) con SECT233R1 y el método de Salsa20 para la actividad de cifrado. En su nueva versión se observó que los ciberdelincuentes utilizaron el lenguaje Rust, con el objetivo de tener más flexibilidad en la ejecución de procesos a través de la configuración en la línea de comandos.
Royal ransomware y su conexión con Conti Team OneRecientemente se ha identificado conexión entre el nuevo grupo de ransomware Royal y Conti Team One, dado a que ciberdelincuentes experimentados de este último mencionado hacen parte de Royal ransomware; que fue nombrado en principio como Zeon ransomware y posteriormente fue a actualizado a como lo conocemos actualmente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/royal-ransomware-y-su-conexion-con-conti-team-onehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado conexión entre el nuevo grupo de ransomware Royal y Conti Team One, dado a que ciberdelincuentes experimentados de este último mencionado hacen parte de Royal ransomware; que fue nombrado en principio como Zeon ransomware y posteriormente fue a actualizado a como lo conocemos actualmente.
La Botnet Glupteba aumenta sus infeccionesSe conoce que Glupteba se ha encontrado activa desde 2011, desde entonces se han podido identificar aproximadamente 1 millón de infraestructuras informáticas con sistemas operativos Windows que hacen parte de esta red, así mismo, en su momento Google anunció que dio de baja a Glupteba, que fue desarrollada con el objetivo de recopilar y exfiltrar datos sensibles de los usuarios como credenciales de acceso realizar minería, implementar proxy que les permiten canalizar el tráfico de red.http://csirtasobancaria.com/Plone/alertas-de-seguridad/la-botnet-glupteba-aumenta-sus-infeccioneshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se conoce que Glupteba se ha encontrado activa desde 2011, desde entonces se han podido identificar aproximadamente 1 millón de infraestructuras informáticas con sistemas operativos Windows que hacen parte de esta red, así mismo, en su momento Google anunció que dio de baja a Glupteba, que fue desarrollada con el objetivo de recopilar y exfiltrar datos sensibles de los usuarios como credenciales de acceso realizar minería, implementar proxy que les permiten canalizar el tráfico de red.
Nueva actividad asociada al ransomware LockBitEl equipo de analistas del Csirt Financiero, realizo un monitoreo en el ciberespacio donde se observó un nuevo ataque de los actores de amenaza del ransomware LockBit afectando al departamento de finanzas de California (DOF), donde afirmaron que el ransomware había capturado 75 GB de archivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-al-ransomware-lockbithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero, realizo un monitoreo en el ciberespacio donde se observó un nuevo ataque de los actores de amenaza del ransomware LockBit afectando al departamento de finanzas de California (DOF), donde afirmaron que el ransomware había capturado 75 GB de archivos.
Nueva actividad maliciosa del ransomware BlackByteLos actores de amenaza detrás del ransomware BlackByte realizan constantes actualizaciones en su código fuente para hacer de este ransomware una amenaza más sofisticada y elaborada para poder llegar a infectar y cifrar información confidencial a equipos con sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-blackbytehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza detrás del ransomware BlackByte realizan constantes actualizaciones en su código fuente para hacer de este ransomware una amenaza más sofisticada y elaborada para poder llegar a infectar y cifrar información confidencial a equipos con sistemas operativos Windows.
Ataque cibernético afecta a la entidad RapipagoLos ataques cibernéticos relacionados con ransomware continúan siendo parte del panorama que está sufriendo Latinoamérica durante las últimas semanas, esta vez la entidad objetivo fue la empresa Gire Soluciones, ligados como los titulares de la red de cobranza Rapipago, quienes fueron impactados por una variante del ransomware Play o Playcrypt.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-cibernetico-afecta-a-la-entidad-rapipagohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ataques cibernéticos relacionados con ransomware continúan siendo parte del panorama que está sufriendo Latinoamérica durante las últimas semanas, esta vez la entidad objetivo fue la empresa Gire Soluciones, ligados como los titulares de la red de cobranza Rapipago, quienes fueron impactados por una variante del ransomware Play o Playcrypt.
Nueva versión de Venom RAT con un módulo stealer.El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas que puedan afectar la infraestructura de nuestros asociados, donde se observó una reciente actividad de Venom RAT con una nueva versión y un módulo stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-de-venom-rat-con-un-modulo-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas que puedan afectar la infraestructura de nuestros asociados, donde se observó una reciente actividad de Venom RAT con una nueva versión y un módulo stealer.
Nueva actividad del grupo APT Deathstalker afectando entidades financierasEn el ámbito de la ciberseguridad un APT es identificado como un grupo de ciberdelincuentes que realizan ataques persistentes con el objetivo de ganar económicamente o darse a conocer en el ciberespacio, de ahí es donde surgen la amenaza avanzada persistente donde en esta ocasión se identificaron ataques dirigidos a entidades financieras y gubernamentales de Europa y medio oriente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-apt-deathstalker-afectando-entidades-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de la ciberseguridad un APT es identificado como un grupo de ciberdelincuentes que realizan ataques persistentes con el objetivo de ganar económicamente o darse a conocer en el ciberespacio, de ahí es donde surgen la amenaza avanzada persistente donde en esta ocasión se identificaron ataques dirigidos a entidades financieras y gubernamentales de Europa y medio oriente.
Nueva actividad del loader BatloaderRecientemente el equipo de analistas del Csirt Financiero a través de una búsqueda de amenazas que puedan llegar afectar al sector se evidenciaron nuevos indicadores de compromiso relacionados al Loader denominado Batloader el cual es utilizado como malware de etapa inicial para entregar amenazas como ransomware y troyanos de acceso remoto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-loader-batloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo de analistas del Csirt Financiero a través de una búsqueda de amenazas que puedan llegar afectar al sector se evidenciaron nuevos indicadores de compromiso relacionados al Loader denominado Batloader el cual es utilizado como malware de etapa inicial para entregar amenazas como ransomware y troyanos de acceso remoto.
Se identifican nuevos indicadores de compromiso relacionados al troyano de acceso remoto NjRATAunque el troyano de acceso remoto conocido como NjRAT ha sido reportado en ocasiones anteriores por el equipo del Csirt Financiero, es importante recalcar este tipo de nuevas actividades ya que esta amenaza se ha observado en diversas campañas en contra de organizaciones y entidades financieras de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-indicadores-de-compromiso-relacionados-al-troyano-de-acceso-remoto-njrat-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano de acceso remoto conocido como NjRAT ha sido reportado en ocasiones anteriores por el equipo del Csirt Financiero, es importante recalcar este tipo de nuevas actividades ya que esta amenaza se ha observado en diversas campañas en contra de organizaciones y entidades financieras de Latinoamérica.
Nueva variante de Prilex aprovecha la tecnología NFCPrillex ha proliferado en la naturaleza, gracias a su constante evolución y la codicia de sus actores quienes desarrollan variantes de este malware PoS (point of sale) para impactar mayor número de víctimas aprovechándose de tarjetas de crédito con tecnología de CHIP y PIN; no obstante, recientemente se han identificado tres nuevas versiones y una de estas apunta a transacciones que puede afectar las tarjetas habilitadas para NFC (Near Field Communication).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-prilex-aprovecha-la-tecnologia-nfc-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Prillex ha proliferado en la naturaleza, gracias a su constante evolución y la codicia de sus actores quienes desarrollan variantes de este malware PoS (point of sale) para impactar mayor número de víctimas aprovechándose de tarjetas de crédito con tecnología de CHIP y PIN; no obstante, recientemente se han identificado tres nuevas versiones y una de estas apunta a transacciones que puede afectar las tarjetas habilitadas para NFC (Near Field Communication).
El troyano de acceso remoto XWorm se distribuye activamente en la naturalezaEn la Darknet son ofertados de forma continua herramientas maliciosas o en su defecto actualizaciones de las mismas con nuevas capacidades; específicamente en foros clandestinos de la Deep y Dark web, en ése orden de ideas a mediados de este año se identificó la versión 2.2 del troyano de acceso remoto XWorm, ofrecida bajo el proyecto denominado Evilcoder; desde entonces se ha visto distribuyéndose activamente en la naturaleza, estos actores de amenaza lo describen como un sofisticado RAT con ransomware y capacidades de ataque hVNC (hidden virtual network computing, por sus siglas inglés).http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-de-acceso-remoto-xworm-se-distribuye-activamente-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la Darknet son ofertados de forma continua herramientas maliciosas o en su defecto actualizaciones de las mismas con nuevas capacidades; específicamente en foros clandestinos de la Deep y Dark web, en ése orden de ideas a mediados de este año se identificó la versión 2.2 del troyano de acceso remoto XWorm, ofrecida bajo el proyecto denominado Evilcoder; desde entonces se ha visto distribuyéndose activamente en la naturaleza, estos actores de amenaza lo describen como un sofisticado RAT con ransomware y capacidades de ataque hVNC (hidden virtual network computing, por sus siglas inglés).
Stealer Vidar distribuido en foros de la Dark web para captura de credenciales bancariasA través de un monitoreo realizado en la Deep y Dark web, se identificó que una amenaza de tipo Stealer conocido como Vidar, ha sido ofertado en varios foros y mercados rusos para la venta y captura de credenciales, donde se observó que los ciberdelincuentes ofrecen esta amenaza ya sea para capturar datos confidenciales de portales de transacciones bancarias o para ofertar datos ya capturados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/stealer-vidar-distribuido-en-foros-de-la-dark-web-para-captura-de-credenciales-bancariashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de un monitoreo realizado en la Deep y Dark web, se identificó que una amenaza de tipo Stealer conocido como Vidar, ha sido ofertado en varios foros y mercados rusos para la venta y captura de credenciales, donde se observó que los ciberdelincuentes ofrecen esta amenaza ya sea para capturar datos confidenciales de portales de transacciones bancarias o para ofertar datos ya capturados.
Nuevos indicadores de compromiso de Qbot de su última campaña en el mes de noviembreEn las últimas semanas del mes de noviembre, el equipo de analistas del Csirt Financiero realizó una actualización de una actividad relacionada con el troyano Qbot donde algunos grupos de ciberdelincuentes estaban aprovechando una falla de seguridad en el panel de control de Windows 10 conocido como control.exe; en esta ocasión se identificaron más indicadores de compromiso relacionados con esta nueva campaña.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-de-qbot-de-su-ultima-campana-en-el-mes-de-noviembrehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En las últimas semanas del mes de noviembre, el equipo de analistas del Csirt Financiero realizó una actualización de una actividad relacionada con el troyano Qbot donde algunos grupos de ciberdelincuentes estaban aprovechando una falla de seguridad en el panel de control de Windows 10 conocido como control.exe; en esta ocasión se identificaron más indicadores de compromiso relacionados con esta nueva campaña.
Nueva actividad de Emotet es implementada para distribuir ransomware QuantumEmotet, identificado por primera vez en el año 2014 como un troyano bancario, es una de las amenazas más mencionadas a nivel global, ya que su evolución y capacidades han trascendido rápidamente con el tiempo, convirtiéndolo en una botnet para distribución de cargas útiles de segunda etapa de diversos tipos de malware que tienen el objetivo de afectar la confidencialidad y disponibilidad de entidades y organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-emotet-es-implementada-para-distribuir-ransomware-quantumhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emotet, identificado por primera vez en el año 2014 como un troyano bancario, es una de las amenazas más mencionadas a nivel global, ya que su evolución y capacidades han trascendido rápidamente con el tiempo, convirtiéndolo en una botnet para distribución de cargas útiles de segunda etapa de diversos tipos de malware que tienen el objetivo de afectar la confidencialidad y disponibilidad de entidades y organizaciones.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}